AWS Transit Gateway 이해

AWS Transit Gateway 이해

AWS의 Transit Gateway를 이해해보자.


Amazon Transit Gateway 개요

AWS에서 소개하는 Amazon Transit Gateway 설명을 보면

Transit Gateway가상 사설 클라우드(VPC)와 온프레미스 네트워크상호 연결하는 데 사용할 수 있는 네트워크 전송 허브입니다.
클라우드 인프라가 전 세계적으로 확장됨에 따라 리전 간 피어링은 AWS 글로벌 인프라를 사용하여 Transit Gateway를 함께 연결합니다.
데이터는 자동으로 암호화되며 퍼블릭 인터넷을 통해 전송되지 않습니다.(AWS Transit Gateway Docs)

Transit Gateway네트워크 전송 허브(라우터)로서, 서로 다른 VPC간의 통신을 가능하게 하는 서비스입니다.
기존의 VPC Peering의 경우 1대 1 VPC 연결만 지원함에 따라 직접적으로 연결되지 않은 VPC에 바로 접근할 수 없었다면(전이적 피어링) Transit Gateway중앙 집중 허브를 통해 여러개의 VPC간 연결 정책을 중앙에서 관리할 수 있고, VPN을 통해 VPC와 온프레미스 네트워크를 연결


Amazon Transit Gateway 특징

  • 여러 VPC와 연결 가능

  • 중앙 허브VPN을 통해 VPC와 온프레미스 네트워크 연결 가능

  • 복잡한 피어링 관계를 제거하여 네트워크 간소화

  • 다른 리전간Transit Gateway피어링 연결 가능

  • 새로운 네트워크를 한 번의 연결을 통해 추가 가능

  • 향상된 보안
    • 공용 네트워크에 노출되지 않음, 암호화
    • DDos, SQL Injection, Cross Site Scripting 등 방지
  • 온디맨드, 멀티캐스트 대역폭

VPC Peering의 한계

Transit Gateway에 대해 자세히 보기 전에 비교 대상VPC Peering에 대해 먼저 알아봅시다.

archi

위 그림은 VPC PeeringVPN을 사용한 AWS Region 1-AWS Region 2, AWS Cloud-On-Premise 연결을 나타낸 구조도

이 때 구현된 연결은 다음과 같습니다.

  1. Amazon VPC A - Amazon VPC B
  2. Amazon VPC B - Amazon VPC D
  3. Amazon VPC C - Amazon VPC D
  4. Amazon VPC C - Amazon VPC E
  5. Amazon VPC D - Amazon VPC E
  6. Amazon VPC B - On-Premise

1. VPC Peering - 전이적 피어링

1, 2번 연결을 보면

archi

Amazon VPC A에서 Amazon VPC D는 사이에 Amazon VPC B를 끼고 연결되어 있는 것 처럼 보입니다.
하지만 전이적 피어링 제한으로 인해 Amazon VPC A에서 Amazon VPC D로의 직접적인 접근(패킷 라우팅)은 불가능

archi

위 그림은 전이적 피어링 제한을 나타내며
VPC A는 각각 VPC BVPC C로 연결되어 있기 때문에, VPC B에서 VPC A를 통해 VPC C로 접근 할 수 있다고 생각하기 쉽지만, 이는 불가능
즉, 다음과 같은 연결은 직접적으로 이루어지지 않습니다.

VPC B - VPC A - VPC C

때문에 아까 봤던 구조도에서의 다음 연결은 이루어지지 않는 것이 증명

Amazon VPC A - Amazon VPC B - Amazon VPC D

2. VPC Peering - 엣지 간 라우팅

1, 6번 연결을 보면

archi

Amazon VPC AAmazon VPC BVPC Peering으로 연결되어 있으며, Amazon VPC BOn-PremiseVPN Connection으로 연결되어 있는데, 이 때 VPN ConnectionDirect Connect, Site-to-Site의 경우를 포함합니다.

위 경우와 마찬가지로 Amazon VPC AAmazon VPC B를 통해 On-Premise에 접근할 수 있을 것 처럼 보이지만, 이는 엣지 간 라우팅 제한으로 인해 불가능

archi

위 그림은 엣지 간 라우팅 제한을 나타내며
On-Premise 네트워크에서의 트래픽은 VPC A에 대한 Site-to-Site VPN 연결 또는 AWS Direct Connect 연결을 사용하여 VPC B직접 액세스할 수 없으며, 그 반대의 경우에도 불가능

비단(다만) On-Premise에 대한 피어링 뿐만이 아니라, 다음의 경우도 불가능합니다.

  • 인터넷 게이트웨이를 통한 엣지 간 라우팅

archi

VPC AVPC B 사이(pcx-abababab)에 VPC Peering 연결이 되며
VPC A에는 인터넷 게이트웨이가 있지만, VPC B에는 없습니다.
엣지 간 라우팅은 지원되지 않으므로, VPC A를 사용하여 피어링 관계를 확장함으로써 VPC B인터넷 사이피어링 관계가 존재하는 것이 불가능

예를 들어 인터넷에서의 트래픽은 VPC A에 대한 인터넷 게이트웨이 연결을 사용하여 VPC B직접 액세스할 수 없습니다.
인터넷 게이트웨이가 아닌 NAT 게이트웨이(또는 디바이스)의 경우에도 마찬가지입니다.

  • VPC 게이트웨이 엔드포인트를 통한 엣지 간 라우팅

archi

VPC AVPC B 사이(pcx-aaaabbbb)에 VPC Peering 연결이 되며
VPC A에는 Amazon S3에 연결하는 VPC 게이트웨이 엔드포인트가 있습니다.
엣지 간 라우팅은 지원되지 않으므로, VPC A로 피어링 관계를 확장하여 VPC BAmazon S3 사이에 피어링 관계가 존재하는 것이 불가능

예를 들어 VPC BVPC A에 대한 VPC 게이트웨이 엔드포인트 연결을 사용하여 Amazon S3직접 액세스할 수 없습니다.


Transit Gateway 사용

VPC Peering의 한계는 모두 Transit Gateway사용함으로서 극복 가능

archi

위 그림은 Transit Gateway를 사용한 구조도로
VPC Peering만을 통한 구현보다 훨씬 깔끔하고 복잡성이 줄어들었습니다.

Amazon VPCTransit Gateway을 통해 연결되며, Transit Gateway - Route Table을 통해 연결되어 있다면 어떤 대상이든 접근할 수 있으며
또한 불필요한 통신을 막기 위해 Association을 지정하여 리소스를 분리하고 차단할 수 있습니다.

확장성이 필요한 워크로드의 경우, VPCVPC Peering + VPN만을 사용하여 네트워크를 구성한다면 하나 추가할 때 마다 수 많은 연결이 필요할 수 있지만, Transit Gateway를 사용하면 한 번의 추가로 해결됩니다.


Transit Gateway과 VPC Peering의 장단점

Transit Gateway가 장점만 있는 것은 아니며
VPC Peering과 비교해서 단점을 알아보자.
(모든 것은 Transit Gateway 기준)

1. 서비스 갯수 한도(장점)

AWS 서비스에는 Hard LimitSoft Limit 개념이 있습니다.

Hard Limit은 말그대로 더이상 수용할 수 없는 최대한도를 말하며
Soft Limit요청하여 증설할 수 있는 한도를 말합니다.

VPC PeeringHard limitVPC당 125개 이며, Transit GatewayTransit Gateway당 5000개의 VPC 연결이 가능하다.

2. 대역폭(단점)

VPC Peering대역폭에 제한이 없으며, Transit Gateway최대 대역폭이 50Gbps입니다.

따라서 만약 50Gbps 이상의 대역폭을 요구하는 서비스의 경우 Transit Gateway를 사용한 네트워크 구축은 제한

3. 비용(단점)

비용을 같은 조건으로 비교해보면 VPC Peering 대비 Trasit Gateway가 약 1.5배 더 비쌉니다.

데이터 전송 비용은 두 서비스가 동일하지만, Transit Gateway는 사용하는 동안의 연결 비용, VPN 비용추가로 발생

Transit Gateway의 기능을 생각하면 당연하다고 볼 수 있지만
만약 비용 효율적인 워크로드를 구성해야 하는 경우, Transit Gateway제한

Ref


AWS Docs - Transit Gateway란 무엇입니까?

AWS Docs - 지원되지 않는 VPC 피어링 구성

Transit Gateway란

VPC Peering 과 Transit Gateway 어떻게 다를까

Transit Gateway?(1) - 개념 및 비용비교

Transit Gateway 소개

VPC Peering과 Transit Gateway 비교


© 2022. All rights reserved. 신동민의 블로그